Nothing Special   »   [go: up one dir, main page]

CN106685903B - 基于sdn的数据传输方法、sdn控制器和sdn系统 - Google Patents

基于sdn的数据传输方法、sdn控制器和sdn系统 Download PDF

Info

Publication number
CN106685903B
CN106685903B CN201510762339.XA CN201510762339A CN106685903B CN 106685903 B CN106685903 B CN 106685903B CN 201510762339 A CN201510762339 A CN 201510762339A CN 106685903 B CN106685903 B CN 106685903B
Authority
CN
China
Prior art keywords
data
encrypted
encryption
sdn
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510762339.XA
Other languages
English (en)
Other versions
CN106685903A (zh
Inventor
赖培源
陈天
樊勇兵
金华敏
刘艺
陈楠
丁圣勇
黄志兰
区洪辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN201510762339.XA priority Critical patent/CN106685903B/zh
Publication of CN106685903A publication Critical patent/CN106685903A/zh
Application granted granted Critical
Publication of CN106685903B publication Critical patent/CN106685903B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4645Details on frame tagging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于SDN的数据传输方法、SDN控制器和SDN系统,其中的方法包括:SDN控制器接收到管理平台发送的加密数据通知消息,基于加密数据通知消息判断传输的数据是否需要加密,如果是,则计算出需要加密传输的数据的转发路由,并使此转发路由经过加密设备,如果判断传输的数据不需要加密,则计算出不需要加密传输的数据的转发路由,并使此转发路由不经过加密设备。本发明的基于SDN的数据传输方法、SDN控制器和SDN系统,能够只对需要进行加密的重要数据进行加密传输,而无需加密的非重要数据则可以不经过加密设备处理,降低了数据的处理成本和处理造成的时延,基于网络路径对数据进行分类处理,减少了复杂的数据分类分析,提升资源的利用率。

Description

基于SDN的数据传输方法、SDN控制器和SDN系统
技术领域
本发明涉及数据传输技术领域,尤其涉及一种基于SDN的数据传输方法、SDN控制器和SDN系统。
背景技术
随着虚拟化技术的广泛应用,IT资源将成为像水电一样可运营的基础设施,云数据中心作为重要的云基础设施的承载体,其资源管理成为重要的研究课题。混合云融合了公有云和私有云,是近年来云计算的主要模式和发展方向。出于安全考虑,大部分企业更愿意将数据存放在私有云中,但是同时又希望可以获得公有云的丰富廉价的IT资源,在这种情况下混合云被越来越多的采用,它将公有云和私有云进行混合和匹配,以获得最佳的效果,这种个性化的解决方案,达到了既省钱又安全的目的。它既可以利用私有云的安全,将内部重要数据保存在本地数据中心;同时也可以使用公有云的计算资源,更高效快捷地完成工作,相比私有云或是公有云都更完美。
然而,私有云和公有云之间的连接和数据传输,成了业界研究的新热点。如果在数据中心之间进行传输之前,将所有数据通过各类加密算法进行加密,通过隧道等方式进行安全传输,如亚马逊云服务主要基于VPN实现跨数据中心互联;思科提出的互联云(InterCloud)在云两端分别将所有传输数据进行加密,这些解决方案对不需要加密的数据的加密,浪费了相关的资源。随着云数据的规模增长,不加区分的数据加密方式,给加密设备带来了极大的负担,成为系统的扩展瓶颈点。
发明内容
有鉴于此,本发明要解决的一个技术问题是提供一种基于SDN的数据传输方法、SDN控制器和SDN系统,能够对需要进行加密的数据进行加密传输。
一种基于SDN的数据传输方法,包括:软件定义网络SDN控制器接收到管理平台发送的加密数据通知消息;SDN基于所述加密数据通知消息判断传输的数据是否需要加密,如果是,则计算出需要加密传输的数据的转发路由,并使所述转发路由经过加密设备。
根据本发明的一个实施例,进一步的,如果判断传输的数据不需要加密,则计算出不需要加密传输的数据的转发路由,并使此转发路由不经过加密设备。
根据本发明的一个实施例,进一步的,所述加密数据通知消息携带的信息包括:发送需要加密数据的发送设备信息、vlan或vxlan信息;其中,所述发送设备信息包括:物理服务器或者虚拟机的IP地址或端口。
根据本发明的一个实施例,进一步的,所述SDN基于所述加密数据通知消息判断传输的数据是否需要加密包括:根据所述加密数据通知消息,所述SDN控制器对发送需要加密数据的发送设备信息、vlan或vxlan信息进行加密标签标注;所述SDN控制器在进行路由计算时基于所述加密标签判断传输的数据是否需要加密。
根据本发明的一个实施例,进一步的,所述计算出需要加密传输的数据的转发路由,并使所述转发路由经过加密设备包括:所述SDN控制器从接收到的所述数据包中解析出发送所述数据包的发送设备信息、vlan或vxlan信息;所述发送设备信息包括:物理服务器或者虚拟机的IP地址或端口;所述SDN控制器判断发送所述数据包的发送设备信息、vlan或vxlan信息是否标注有加密标签,如果是,则所述SDN控制器进行路由选择,使所述数据包的转发路由经过加密设备,并将路由信息发送到所述发送设备;当所述数据包经过所述加密设备时进行加密处理。
根据本发明的一个实施例,进一步的,包括:所述SDN控制器判断所述数据包的发送设备信息没有标注加密标签,则所述SDN控制器进行路由选择,使所述数据包的转发路由不经过加密设备。
根据本发明的一个实施例,进一步的,所述数据包的发送设备、vlan或vxlan属于第一云数据中心或第一云服务提供商,接收所述数据包的目标设备、目标vlan或vxlan属于第二云数据中心或第二云服务提供商。
根据本发明的一个实施例,进一步的,所述SDN控制器进行路由选择包括:所述SDN采用距离矢量路由选择算法或链路状态路由选择算法进行路径计算。
一种软件定义网络SDN控制器,包括:加密信息接收单元,用于接收管理平台发送的加密数据通知消息;路由规划单元,用于基于所述加密数据通知消息判断传输的数据是否需要加密,如果是,则计算出需要加密传输的数据的转发路由,并使所述转发路由经过加密设备。
根据本发明的一个实施例,进一步的,所述路由规划单元,还用于如果判断传输的数据不需要加密,则计算出不需要加密传输的数据的转发路由,并使此转发路由不经过加密设备。
根据本发明的一个实施例,进一步的,所述加密数据通知消息携带的信息包括:发送需要加密数据的发送设备信息、vlan或vxlan信息;其中,所述发送设备信息包括:物理服务器或者虚拟机的IP地址或端口。
根据本发明的一个实施例,进一步的,包括:加密标签标注单元,用于根据所述加密数据通知消息,对发送需要加密数据的发送设备信息、vlan或vxlan信息进行加密标签标注;所述路由规划单元,还用于在进行路由计算时基于所述加密标签判断传输的数据是否需要加密。
根据本发明的一个实施例,进一步的,所述路由规划单元,包括:信息提取模块,用于从接收到的所述数据包中解析出发送所述数据包的发送设备信息、vlan或vxlan信息;所述发送设备信息包括:物理服务器或者虚拟机的IP地址或端口;路由选择模块,用于判断发送所述数据包的发送设备信息、vlan或vxlan信息是否标注有加密标签,如果是,则进行路由选择,使所述数据包的转发路由经过加密设备,并将路由信息发送到所述发送设备;其中,当所述数据包经过所述加密设备时进行加密处理。
根据本发明的一个实施例,进一步的,所述路由选择模块,还用于判断所述数据包的发送设备信息没有标注加密标签,则所述SDN控制器进行路由选择,使所述数据包的转发路由不经过加密设备。
根据本发明的一个实施例,进一步的,所述数据包的发送设备、vlan或vxlan属于第一云数据中心或第一云服务提供商,接收所述数据包的目标设备、目标vlan或vxlan属于第二云数据中心或第一云服务提供商。
根据本发明的一个实施例,进一步的,所述路由选择模块,还用于采用距离矢量路由选择算法或链路状态路由选择算法进行路径计算。
一种SDN系统,包括:管理平台、如上所述的SDN控制器。
本发明的基于SDN的数据传输方法、SDN控制器和SDN系统,能够只对需要进行加密的重要数据进行加密传输,而无需加密的非重要数据则可以不经过加密设备处理,降低了数据的处理成本和处理造成的时延,提升了网络的利用率,通过集中的SDN网络控制器,基于网络路径对数据进行分类处理,减少了复杂的数据分类分析,提升资源的利用率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的基于SDN的数据传输方法的一个实施例的流程示意图;
图2为本发明的基于SDN的数据传输方法的应用场景示意图;
图3为根据本发明的SDN控制器的一个实施例的模块示意图;
图4为根据本发明的SDN控制器的一个实施例中的路由规划单元的模块示意图。
具体实施方式
下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。下面结合各个图和实施例对本发明的技术方案进行多方面的描述。
软件定义网络SDN(Software Defined Network)是一种新型网络创新架构,具有控制转发分离、集中控制、开放可编程等特性,能够实现数据中心网络虚拟化,承载多租户。下文中的“第一”、“第二”等为描述上相区别,并没有其它特殊的含义。
图1为本发明的基于SDN的数据传输方法的一个实施例的流程示意图,如图1所示:
步骤101,SDN控制器接收到管理平台发送的加密数据通知消息。
步骤102,SDN基于加密数据通知消息判断传输的数据是否需要加密。
步骤103,如果是,则计算出需要加密传输的数据的转发路由,并使转发路由经过加密设备。
如果判断传输的数据不需要加密,则计算出不需要加密传输的数据的转发路由,并使此转发路由不经过加密设备。本发明中的管理平台可以为数据中心的管理平台,可以是云管理平台或者数据管理平台等。
在数据中心之间进行传输之前,为了保护私有云中的数据安全,大部分系统会将所有数据通过各类加密算法进行加密,通过隧道等方式进行安全传输,这种传输对不需要加密的数据的加密,浪费了相关的资源。随着云数据的规模增长,不加区分的数据加密方式,给加密设备带来了极大的负担,成为系统的扩展瓶颈点。
本发明的基于SDN的数据传输方法,通过SDN网络集中控制器,按照配置策略,将需要加密和不需要加密的数据经过不同的转发路径进行传输,并在数据中心传输始末端分别进行加解密的方法,能有效提升传输效率,降低灾备成本。
在一个实施例中,加密数据通知消息携带的信息包括:发送需要加密数据的发送设备信息、vlan或vxlan信息等。发送设备信息包括:物理服务器或者虚拟机的IP地址或端口等。根据加密数据通知消息,SDN控制器对发送需要加密数据的发送设备信息、vlan或vxlan信息进行加密标签标注,SDN控制器在进行路由计算时基于加密标签判断传输的数据是否需要加密。
在一个实施例中,SDN控制器从接收到的数据包中解析出发送数据包的发送设备信息、vlan或vxlan信息。发送设备信息包括:物理服务器或者虚拟机的IP地址或端口。
SDN控制器判断发送数据包的发送设备信息、vlan或vxlan信息是否标注有加密标签,如果是,则SDN控制器进行路由选择,使数据包的转发路由经过加密设备,并将路由信息发送到发送设备。当数据包经过加密设备时进行加密处理。加密标签可以由管理平台通知SDN控制器,例如,哪些vlan、vxlan需要加密或不加密。
当SDN控制器判断数据包的发送设备信息、vlan或vxlan信息没有标注加密标签时,则SDN控制器进行路由选择,使数据包的转发路由不经过加密设备。
数据包的发送设备、vlan或vxlan可以属于第一云数据中心或第一云服务提供商,注:如亚马逊和微软、百度和腾讯等。接收数据包的目标设备、目标vlan或vxlan可以属于第二云数据中心或第二云服务提供商,可以实现数据中心之间的传输。SDN采用距离矢量路由选择算法或链路状态路由选择算法等进行路径计算。
上述实施例中的基于SDN的数据传输方法,在跨数据中心传输过程中,通过SDN控制器配置路由来实现数据的分类加密,在数据是否加密的分类中,可以按照加密需求,选择端口、IP、甚至vlan集群等一台或多台服务器(虚拟机)节点,管理平台和SDN控制器可以协同工作,完成数据的按需分类加密。
在数据搬迁过程中,将传输数据按照需要加密和不需要加密分别进行路径选择,路径选择由SDN控制器实现,从而可以借助集中的网络控制平台,更加高效地将数据中心之间的数据传输按照加密需求进行分类处理。
如图2所示,在原数据中心(可以是生产数据中心或者企业私有云数据中心)中,使用集中控制的SDN网络,该SDN网络的控制器可以有效控制数据中心内节点的传输路径。管理平台或系统(可以是云管理平台或者数据管理平台)和SDN网络控制器可以直接通信。
对跨数据中心之间传输的数据,数据中心管理平台可以按照实际业务的需要设定相应的策略,规定哪些数据需要进行加密,哪些数据可以不经过加密处理。加密策略的实施则由SDN控制器来执行,对于带有加密要求的数据,SDN控制器会将相关的数据转发路径设定到加密设备上,反之,对于没有加密要求的数据传输,则在转发路径上设定到直接转发设备上。
SDN控制器在执行数据分类时,通常以数据流为基本单位,可以选择从一个物理服务器或者一个虚拟机在跨数据中心备份时,将所有数据都经过加密设备,这个通常可以把物理服务器或者虚拟机的IP作为分类标签。
也可以选择该物理服务器或者虚拟机的一部分业务数据进行加密,则通常可以将部分端口数据进行分类加密。在大规模的数据中心应用场景下,还可以以一个vlan,或者一个vxlan为分类标签,即将某一个vlan或vxlan内的所有节点的备份数据都进行加密或者不加密。
加密标签为一种标识,可以为设置的字符或数值等等。加密标签的设定主要取决于系统的规模,大规模场景下,通常会使用较大的颗粒度,如vlan或vxlan等,而需要精细化管理的应用场景下,则可能会使用到以端口为颗粒度的加密传输管理。
在跨数据中心的分类加密传输中,现有的云资源池大多使用全部数据加密的方式,包括对备份的数据或者业务之间的横向通信数据,例如某个大型业务系统中的核心数据、日志数据等;以及大型业务平台的各个模块可能部署在不同的数据中心内,在网络侧,这些数据通常都不加区分的进行相同的处理,即全部加密或者全部不加密。
采用本发明的基于SDN的数据传输方法,按照加密标签设定,在跨数据中心数据传输中,根据加密需求进行传输的路径规划。首先,管理平台通知SDN控制器某个需要进行传输的流量数据是否需要进行加密,SDN控制器接到通知后,对相应的数据进行标识,例如标识该虚拟机的某个端口的传输数据需要进行经过某个加密设备。
接着,SDN控制器在返回给虚拟机的传输流表中,流量数据的路由必须经过某个加密设备,选择相应的加密设备。当虚拟机需要经过某个端口发起相关的数据传输时,按照正常的网络通信流程,该虚拟机的网络代理模块先向SDN控制器请求转发路由,SDN控制器在收到路由请求后,查询该虚拟机的这个端口是否有相关的加密要求,如果有,则按照对应的加密设备作为网关节点策略,返回经过加密设备的路由选择结果。如果没有,则按照直接进行转发的路由选择,返回给虚拟机的网络代理模块。
在一个实施例中,假设系统中有三个不同的服务器集群,分别对虚拟机A和虚拟机B,物理机C、D、E共三台的数据进行分类加密传输,从数据中心X加密备份到数据中心Y,另外有加密设备a、加密设备b、加密设备c。节点A、B、C、D、E均在一个SDN网络控制器的管理下。
假设系统管理员通过数据中心管理平台,要求对虚拟机A的所有数据进行a类型的加密,即要求数据中心X中的虚拟机A的所有数据都经过加密设备a后,才能将密文传输到数据中心Y。因此,数据中心管理平台通知SDN控制器,SDN控制器则通知其路由选择模块,要求将虚拟机A的所有数据都经过加密设备a,简单的,可以将虚拟机A的出口网关设置为设备a的IP地址。
在一种情况下,假设系统管理员通过数据中心管理平台,要求对虚拟机B出来的500端口的数据进行b类型的加密,即要求数据中心X中的虚拟机B的所有数据都经过加密设备b后,才能将密文传输到数据中心Y。因此,数据中心管理平台通知SDN控制器,SDN控制器则通知其路由选择模块,要求将虚拟机B出来的500端口的数据都经过加密设备b,简单的,可以将虚拟机B在500端口的数据路由请求设置必须经过设备b的IP地址。
在另一种情况下,假设系统管理员通过数据中心管理平台,要求对物理机C、D、E出来的所有数据进行c类型的加密,即要求数据中心X中的物理机C、D、E的所有数据都经过加密设备c后,才能将密文传输到数据中心Y。假设物理机C、D、E都在一个vlan 100内,因此,数据中心管理平台通知SDN控制器,SDN控制器则通知其路由选择模块,要求将vlan 100出来的所有数据都经过加密设备c,简单的,可以将vlan 100的网关设置为设备c的IP地址。
如图3所示,本发明提供一种软件定义网络SDN控制器。加密信息接收单元31接收管理平台发送的加密数据通知消息。路由规划单元32基于加密数据通知消息判断传输的数据是否需要加密,如果是,则计算出需要加密传输的数据的转发路由,并使转发路由经过加密设备。如果路由规划单元32判断传输的数据不需要加密,则计算出不需要加密传输的数据的转发路由,并使此转发路由不经过加密设备。
加密标签标注单元33根据加密数据通知消息,对发送需要加密数据的发送设备信息、vlan或vxlan信息进行加密标签标注;路由规划单元32在进行路由计算时基于加密标签判断传输的数据是否需要加密。
如图4所示,路由规划单元包括:信息提取模块41和路由选择模块42。信息提取模块41从接收到的数据包中解析出发送数据包的发送设备信息、vlan或vxlan信息。发送设备信息包括:物理服务器或者虚拟机的IP地址或端口。
路由选择模块42判断发送数据包的发送设备信息、vlan或vxlan信息是否标注有加密标签,如果是,则进行路由选择,使数据包的转发路由经过加密设备,并将路由信息发送到发送设备。当数据包经过加密设备时进行加密处理。
路由选择模块42判断数据包的发送设备信息、vlan或vxlan信息没有标注加密标签,则SDN控制器进行路由选择,使数据包的转发路由不经过加密设备。路由选择模块42采用距离矢量路由选择算法或链路状态路由选择算法等进行路径计算。
在一个实施例中,本发明提供一种SDN系统,包括:管理平台、如上的SDN控制器。
上述实施例提供的基于SDN的数据传输方法、SDN控制器和SDN系统,可以对数据是否加密进行分类,能够只对需要进行加密的重要数据进行加密传输,而无需加密的非重要数据则可以不经过加密设备处理,降低了数据的处理成本和处理造成的时延,提升了网络的利用率;通过集中的SDN控制器,基于网络路径对数据进行分类处理,减少了复杂的数据分类分析,提升资源的利用率。
可能以许多方式来实现本发明的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。

Claims (10)

1.一种基于SDN的数据传输方法,其特征在于,包括:
软件定义网络SDN控制器接收到管理平台发送的加密数据通知消息;其中,所述加密数据通知消息携带的信息包括:发送需要加密数据的发送设备信息、vlan或vxlan信息;所述发送设备信息包括:物理服务器或者虚拟机的IP地址或端口;
所述SDN基于所述加密数据通知消息判断传输的数据是否需要加密,如果是,则计算出需要加密传输的数据的转发路由,并使此转发路由经过加密设备;
其中,根据所述加密数据通知消息,所述SDN控制器对发送需要加密数据的发送设备信息、vlan或vxlan信息进行加密标签标注;所述SDN控制器在进行路由计算时基于所述加密标签判断传输的数据是否需要加密;
所述计算出需要加密传输的数据的转发路由,并使此转发路由经过加密设备包括:
所述SDN控制器从接收到的数据包中解析出发送所述数据包的发送设备信息、vlan或vxlan信息;
所述SDN控制器判断发送所述数据包的发送设备信息、vlan或vxlan信息是否标注有加密标签,如果是,则所述SDN控制器进行路由选择,使所述数据包的转发路由经过加密设备,并将路由信息发送到发送设备;当所述数据包经过所述加密设备时进行加密处理。
2.如权利要求1所述的方法,其特征在于,包括:
如果判断传输的数据不需要加密,则所述SDN计算出不需要加密传输的数据的转发路由,并使此转发路由不经过加密设备。
3.如权利要求2所述的方法,其特征在于,包括:
所述SDN控制器判断所述数据包的发送设备信息没有标注加密标签,则所述SDN控制器进行路由选择,使所述数据包的转发路由不经过加密设备。
4.如权利要求2所述的方法,其特征在于:
所述数据包的发送设备、vlan或vxlan属于第一云数据中心或第一云服务提供商,接收所述数据包的目标设备、目标vlan或vxlan属于第二云数据中心或第二云服务提供商。
5.如权利要求2所述的方法,其特征在于,所述SDN控制器进行路由选择包括:
所述SDN采用距离矢量路由选择算法或链路状态路由选择算法进行路径计算。
6.一种软件定义网络SDN控制器,其特征在于,包括:
加密信息接收单元,用于接收管理平台发送的加密数据通知消息;其中,所述加密数据通知消息携带的信息包括:发送需要加密数据的发送设备信息、vlan或vxlan信息;所述发送设备信息包括:物理服务器或者虚拟机的IP地址或端口;
路由规划单元,用于基于所述加密数据通知消息判断传输的数据是否需要加密,如果是,则计算出需要加密传输的数据的转发路由,并使此转发路由经过加密设备;
加密标签标注单元,用于根据所述加密数据通知消息,对发送需要加密数据的发送设备信息、vlan或vxlan信息进行加密标签标注;
其中,所述路由规划单元,还用于在进行路由计算时基于所述加密标签判断传输的数据是否需要加密;
其中,所述路由规划单元,包括:
信息提取模块,用于从接收到的数据包中解析出发送所述数据包的发送设备信息、vlan或vxlan信息;
路由选择模块,用于判断发送所述数据包的发送设备信息、vlan或vxlan信息是否标注有加密标签,如果是,则进行路由选择,使所述数据包的转发路由经过加密设备,并将路由信息发送到发送设备;
其中,当所述数据包经过所述加密设备时进行加密处理。
7.如权利要求6所述的SDN控制器,其特征在于,包括:
所述路由规划单元,还用于如果判断传输的数据不需要加密,则计算出不需要加密传输的数据的转发路由,并使此转发路由不经过加密设备。
8.如权利要求7所述的SDN控制器,其特征在于:
所述路由选择模块,还用于判断所述数据包的发送设备信息没有标注加密标签,则所述SDN控制器进行路由选择,使所述数据包的转发路由不经过加密设备。
9.如权利要求7所述的SDN控制器,其特征在于:
所述路由选择模块,还用于采用距离矢量路由选择算法或链路状态路由选择算法进行路径计算。
10.一种SDN系统,其特征在于:
包括:管理平台、如权利要求6至9任意一项所述的SDN控制器。
CN201510762339.XA 2015-11-10 2015-11-10 基于sdn的数据传输方法、sdn控制器和sdn系统 Active CN106685903B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510762339.XA CN106685903B (zh) 2015-11-10 2015-11-10 基于sdn的数据传输方法、sdn控制器和sdn系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510762339.XA CN106685903B (zh) 2015-11-10 2015-11-10 基于sdn的数据传输方法、sdn控制器和sdn系统

Publications (2)

Publication Number Publication Date
CN106685903A CN106685903A (zh) 2017-05-17
CN106685903B true CN106685903B (zh) 2021-04-09

Family

ID=58863896

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510762339.XA Active CN106685903B (zh) 2015-11-10 2015-11-10 基于sdn的数据传输方法、sdn控制器和sdn系统

Country Status (1)

Country Link
CN (1) CN106685903B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10728288B2 (en) * 2017-11-21 2020-07-28 Juniper Networks, Inc. Policy-driven workload launching based on software defined networking encryption policies
US10742690B2 (en) 2017-11-21 2020-08-11 Juniper Networks, Inc. Scalable policy management for virtual networks
CN108073820A (zh) * 2017-11-27 2018-05-25 北京传嘉科技有限公司 数据的安全处理方法、装置及移动终端
US10778724B1 (en) 2018-06-29 2020-09-15 Juniper Networks, Inc. Scalable port range management for security policies
CN110875913A (zh) 2018-09-03 2020-03-10 阿里巴巴集团控股有限公司 数据传输方法和系统
CN109981221A (zh) * 2019-03-26 2019-07-05 南京罗拉穿云物联网科技有限公司 工业dtu数据预处理方法及装置
US11216309B2 (en) 2019-06-18 2022-01-04 Juniper Networks, Inc. Using multidimensional metadata tag sets to determine resource allocation in a distributed computing environment
WO2021168727A1 (en) 2020-02-27 2021-09-02 Juniper Networks, Inc. Packet steering to a host-based firewall in virtualized environments
CN111526080B (zh) * 2020-05-07 2022-03-11 网经科技(苏州)有限公司 网关vxlan可选择加密数据传输的方法
US12021740B2 (en) 2021-05-28 2024-06-25 Juniper Networks, Inc. Policy enforcement for bare metal servers by top of rack switches
CN114679326A (zh) * 2022-03-30 2022-06-28 晨贝(天津)技术有限公司 一种业务消息转发的方法、装置及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103746997A (zh) * 2014-01-10 2014-04-23 浪潮电子信息产业股份有限公司 一种云计算中心网络安全解决方案
CN104935593A (zh) * 2015-06-16 2015-09-23 杭州华三通信技术有限公司 数据报文的传输方法及装置
CN104935594A (zh) * 2015-06-16 2015-09-23 杭州华三通信技术有限公司 基于虚拟可扩展局域网隧道的报文处理方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103746997A (zh) * 2014-01-10 2014-04-23 浪潮电子信息产业股份有限公司 一种云计算中心网络安全解决方案
CN104935593A (zh) * 2015-06-16 2015-09-23 杭州华三通信技术有限公司 数据报文的传输方法及装置
CN104935594A (zh) * 2015-06-16 2015-09-23 杭州华三通信技术有限公司 基于虚拟可扩展局域网隧道的报文处理方法及装置

Also Published As

Publication number Publication date
CN106685903A (zh) 2017-05-17

Similar Documents

Publication Publication Date Title
CN106685903B (zh) 基于sdn的数据传输方法、sdn控制器和sdn系统
CN112217637B (zh) 一种基于集中管理与控制网络的量子密钥中继方法和装置
CN106656801B (zh) 业务流的转发路径的重定向方法、装置和业务流转发系统
US10148517B2 (en) Systems and methods for topology discovery and application in a border gateway protocol based data center
US9755959B2 (en) Dynamic service path creation
RU2651149C2 (ru) Sdn-контроллер, система центра обработки данных и способ маршрутизируемого соединения
CN102884763B (zh) 跨数据中心的虚拟机迁移方法、服务控制网关及系统
CN105991384B (zh) 兼容时间触发以太网与1553b的航天以太网通信方法
CN106713137B (zh) 基于分段路由和sdn技术的vpn方法、装置及系统
CN108243106A (zh) 控制网络切片的方法、转发设备、控制设备和通信系统
EP2999172B1 (en) Method and devices to certify a trusted path in a software defined network
US11799972B2 (en) Session management in a forwarding plane
CN103703722A (zh) P2mp隧道上自举故障检测会话
CN104584484A (zh) 提供基于策略的数据中心网络自动化的系统和方法
CN104320350A (zh) 用于提供基于信用的流控制的方法及系统
US20170310581A1 (en) Communication Network, Communication Network Management Method, and Management System
CN111371664B (zh) 一种虚拟专用网络接入方法及设备
CN101471759A (zh) 提高业务数据传输质量的方法和业务数据传输装置
KR20210151979A (ko) 메시지 검측 방법, 디바이스, 및 시스템
CN104065553A (zh) 虚拟网络迁移方法和相关设备
Chaudhary et al. A comprehensive survey on software‐defined networking for smart communities
KR101586474B1 (ko) 오픈플로우 라우팅 장치 및 방법
US10511494B2 (en) Network control method and apparatus
CN110391961A (zh) 一种隧道绑定方法、设备及系统
KR101953584B1 (ko) Nfv 서비스 제공자, vnf 서비스 제공자, 이들을 포함하는 서비스 체이닝 확장 시스템 및 서비스 체이닝 확장 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant